CSRF跨站请求伪造：身份冒用的艺术

CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种利用用户已认证身份执行非预期操作的攻击。与 XSS 不同，CSRF 不窃取用户数据，而是冒充用户发起请求。它被称为"睡梦中的攻击"——用户在不知情的情况下完成了转账、改密等危险操作。

一、什么是 CSRF

CSRF 的核心原理：利用浏览器自动携带 Cookie 的机制，诱导已登录用户访问恶意链接，以用户身份执行非预期操作。

攻击前提条件

用户已登录目标网站（Cookie 中有有效会话）
浏览器自动携带 Cookie（同源策略不阻止 Cookie 发送）
目标网站未验证请求来源（缺少 CSRF 防护）

经典攻击场景

1. 用户登录银行网站 bank.com，Cookie 中有了会话令牌
2. 用户未退出，去访问恶意网站 evil.com
3. evil.com 的页面包含：
   
4. 浏览器自动携带 bank.com 的 Cookie 发送请求
5. 银行服务器验证 Cookie 有效，执行转账
6. 用户完全不知情，钱就被转走了

二、CSRF vs XSS 的区别

特性	CSRF	XSS
攻击目标	冒充用户执行操作	窃取用户数据/执行脚本
利用机制	浏览器自动携带 Cookie	注入恶意脚本
需要用户交互	访问恶意页面即可	通常需要触发脚本
防御重点	验证请求来源	过滤/转义用户输入
危害类型	状态改变（转账、改密）	信息泄露、会话劫持

三、CSRF 攻击类型

1. GET 型 CSRF

最简单的形式，通过、、</code> 等标签发起 GET 请求。</p><h3>2. POST 型 CSRF</h3><p>通过自动提交的表单发起 POST 请求，可以携带更多参数。</p><h3>3. JSON 型 CSRF</h3><p>针对 AJAX/API 请求的 CSRF，利用 Flash 或 CORS 配置错误。</p><h2>四、CSRF 实战演示</h2><h3>DVWA 靶场练习</h3><p><strong>Low 级别（无防护）：</strong> 构造恶意表单自动提交，密码被修改。</p><p><strong>Medium 级别（Referer 检查）：</strong> 检查 Referer 头，可通过 URL 构造绕过。</p><p><strong>High 级别（Token 验证）：</strong> 服务器生成随机 Token，攻击者无法预测，CSRF 失效。</p><h2>五、CSRF 防御策略</h2><h3>1. CSRF Token（最有效）</h3><p>服务器为每个会话生成随机 Token，要求所有状态改变请求携带此 Token。</p><p><strong>Token 设计原则：</strong></p><ul><li>随机性高（不可预测）</li><li>与会话绑定（防止 Token 被盗用）</li><li>单次使用或定期轮换（可选增强）</li></ul><h3>2. SameSite Cookie</h3><p>现代浏览器支持的 Cookie 属性，控制跨站请求时是否发送 Cookie。</p><table><thead><tr><th>SameSite 值</th><th>行为</th><th>兼容性</th></tr></thead><tbody><tr><td>None</td><td>始终发送（需配合 Secure）</td><td>所有浏览器</td></tr><tr><td>Lax</td><td>安全方法允许，危险方法禁止</td><td>现代浏览器（2017+）</td></tr><tr><td>Strict</td><td>完全禁止跨站发送</td><td>现代浏览器</td></tr></tbody></table><h3>3. Referer/Origin 验证</h3><p>检查请求来源，拒绝非本站的请求。Origin 头更可靠，Referer 可能被禁用。</p><h3>4. 双重 Cookie 验证</h3><p>将 Token 同时放在 Cookie 和请求参数中，服务器比较两者是否一致。</p><h3>5. 自定义请求头</h3><p>AJAX 请求添加自定义头，浏览器跨站请求会自动阻止自定义头。</p><h3>6. 人机验证</h3><p>对敏感操作增加 CAPTCHA 或二次确认。</p><h2>六、防御方案对比</h2><table><thead><tr><th>方案</th><th>安全性</th><th>用户体验</th><th>实现复杂度</th><th>推荐场景</th></tr></thead><tbody><tr><td>CSRF Token</td><td>⭐⭐⭐⭐⭐</td><td>无影响</td><td>中</td><td>所有表单提交</td></tr><tr><td>SameSite Cookie</td><td>⭐⭐⭐⭐</td><td>无影响</td><td>低</td><td>现代浏览器用户</td></tr><tr><td>Referer 验证</td><td>⭐⭐⭐</td><td>可能误杀</td><td>低</td><td>辅助手段</td></tr><tr><td>双重 Cookie</td><td>⭐⭐⭐⭐</td><td>无影响</td><td>中</td><td>SPA/前后端分离</td></tr><tr><td>自定义请求头</td><td>⭐⭐⭐</td><td>无影响</td><td>低</td><td>AJAX 请求</td></tr><tr><td>人机验证</td><td>⭐⭐⭐⭐⭐</td><td>有干扰</td><td>中</td><td>敏感操作</td></tr></tbody></table><h2>七、CSRF 测试方法</h2><p><strong>手动测试：</strong> 登录目标网站 → 构造 CSRF PoC → 在另一个窗口打开 → 观察操作是否执行。</p><p><strong>自动化工具：</strong> Burp Suite CSRF PoC 生成器、CSRFTester。</p><h2>八、代码审计检查清单</h2><ul><li>□ 所有状态改变操作是否都有 CSRF 防护</li><li>□ 是否使用了 CSRF Token 机制</li><li>□ Token 是否随机生成且与会话绑定</li><li>□ Cookie 是否设置了 SameSite 属性</li><li>□ 是否验证了 Origin/Referer 头</li><li>□ 敏感操作是否有人机验证或二次确认</li><li>□ 是否存在 JSONP 或 CORS 配置过宽的问题</li><li>□ 是否允许跨域的 iframe 嵌入（Clickjacking 风险）</li></ul><hr><h2>总结</h2><p>CSRF 是一种利用浏览器信任机制的攻击，它不需要窃取用户凭证，只需要让用户在已登录状态下访问恶意页面。防御的核心是<strong>验证请求的真实来源</strong>：CSRF Token 是最可靠的方案，SameSite Cookie 是现代浏览器的便捷选择，两者结合使用效果更佳。</p><p><em>网络安全系列第 3 篇 —— 由多多自动发布 🐾</em></p>

CSRF跨站请求伪造：身份冒用的艺术

CSRF跨站请求伪造：身份冒用的艺术

一、什么是 CSRF

攻击前提条件

经典攻击场景

二、CSRF vs XSS 的区别

三、CSRF 攻击类型

1. GET 型 CSRF

文章目录